ФорумПрограммированиеПыхнуть хотите?F.A.Q. → Авторизация пользователей в полном смысле этого слова.

Авторизация пользователей в полном смысле этого слова.

  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 5 апреля 2008 г. 23:35, спустя 2 минуты 14 секунд

    хотя с другой стороны, он может шифровать пароль. и если у него есть код шифровки — расшифровать и выдать в нормальном виде
    все умрут, а я изумруд
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 6 апреля 2008 г. 11:14, спустя 11 часов 38 минут 37 секунд

    Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5? И значит админ сайта может посмотреть все пароли?

    Может.
    А там где хешируется, может перехватить данные посылаемые при авторизации.
    И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
    Вещь совершенно очевидная, но почему-то для многих это становится шоком.
  • pyhtelkin

    Сообщения: 103 Репутация: N Группа: Кто попало

    Spritz 18 апреля 2008 г. 19:57, спустя 12 дней 8 часов 43 минуты

    Интересная тема, но все смешалось в кучу.

    Есть предложение по коду проверки, session_start() поместить здесь не в шапку а непосредственно меж 20й и 21й строкой кода.
    Чтобы сессия запускалась только в случае если пользователь нашелся. Это будет красиво. Как считаете?

  • XoxMa

    Сообщения: 135 Репутация: N Группа: Кто попало

    Spritz 23 апреля 2008 г. 20:26, спустя 5 дней 28 минут



    Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5?

    да, да, да
    хули не ясно?
    не может же он расхешировать md5. нету такого. с пальца ему высосать чтоли?
    конечно значит не хешируется пароль а кладется в первозданном виде

    А вот ты не прав.
    Я придумал способ, как можно узнать пароль пользователей.
    Когда пользователи будут заходить на сайт, мы напишем скрипт который будет сохранять введённые данные пользователями например в бд или в текстовы файл. И вставим мы этот скрипт перед моментов, когда мы будем хэшировать пароль методом md5 :D
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 23 апреля 2008 г. 21:48, спустя 1 час 21 минуту 59 секунд

    Ты гений.
  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 10:32, спустя 12 часов 44 минуты 9 секунд

    дашь скрипт?:)
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 14:06, спустя 3 часа 33 минуты 47 секунд

    дашь скрипт?:)

    На шару не давай! Можно ж нехило бабла поднять.
  • XoxMa

    Сообщения: 135 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 19:20, спустя 5 часов 14 минут 9 секунд


    дашь скрипт?:)

    mechanic, я даж не знаю что тебе сказать. Это самое лёгкое, что только можно делать на свете с php
    Мой тебе совет: скачай все книги по php, которые здесь найдёшь и все их просматри!: http://knigka.info/
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 19:54, спустя 34 минуты 3 секунды

    Это пять )))))))))))))
  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 21:37, спустя 1 час 42 минуты 55 секунд

    о, спасибо за совет, дружище! )
    пойду качать)
  • Timur

    Сообщения: 1068 Репутация: N Группа: Джедаи

    Spritz 24 апреля 2008 г. 21:41, спустя 3 минуты 9 секунд

    XoxMa™, перечитай ещё раз пост vasa_c

    … А там где хешируется, может перехватить данные посылаемые при авторизации.
    И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
    Вещь совершенно очевидная, но почему-то для многих это становится шоком.


    sap, mechanic, хорош уже )
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 19:37, спустя 86 дней 21 час 56 минут

    А где еще хранить «соль»? Кроме базы.
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 19:39, спустя 1 минуту 30 секунд

    И еще как определить в какой пользователь группе?
    $_SESSION['group'] = 'blabla';

    так?
  • disc

    Сообщения: 843 Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 19:53, спустя 14 минут 23 секунды


    А где еще хранить «соль»? Кроме базы.


    Я храню в солянке, ой в переменной, если соль - это константа :)
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 19:55, спустя 1 минуту 49 секунд

    Тоесть она должна быть с самого начала определена?
    А если злоумышленник скачает скрипт, посмотрит сол и поставит соль и хэш на john the ripper, то что?

Пожалуйста, авторизуйтесь, чтобы написать комментарий!